BLOGUE – Alors que des cyberattaques telles que WannaCry et Petya font des ravages partout dans le monde et que l’on assiste à des atteintes aux données très médiatisées telles que celle dont Equifax a été la cible, il est facile de se laisser emporter par le cycle médiatique.
Mais ces menaces ne sont pas celles qui méritent le plus l’attention des professionnels de la sécurité. Les vulnérabilités, ainsi que leur exploitation, sont encore aujourd’hui la cause profonde de la plupart des atteintes à la sécurité des renseignements. Ces dernières découlent en majorité de l’exploitation d’une vulnérabilité. Il s’agit parfois de vulnérabilités connues plutôt que d’attaques du jour zéro.
Au cours de la dernière décennie, les vulnérabilités du jour zéro ont représenté 4 % des incidents. Les sommes consacrées aux démarches de repérage de celles-ci sont démesurées par rapport aux risques qu’elles représentent. On établit ici une comparaison avec le nombre d’atteintes et d’infections attribuables à un nombre minime de vulnérabilités exploitées à répétition.
Les attaques du jour zéro sont-elles bien réelles? Oui. Sont-elles le plus grand problème de la plupart des organisations? Non. Le problème le plus important en ce qui concerne la gestion des vulnérabilités réside dans le fait qu’en matière de contrôles correctifs et préventifs, les organisations n’accordent pas la priorité aux vulnérabilités visées par les auteurs des menaces.
En matière de gestion des vulnérabilités, les organisations doivent orienter leurs priorités vers les menaces les plus importantes. Bien que Gartner observe l’existence de menaces persistantes et sophistiquées, dans la plupart des cas, la majorité des auteurs de menaces n’ont pas recours à des méthodes très complexes pour arriver à leurs fins. La plupart du temps, ils misent plutôt sur des vulnérabilités connues.
Occupez-vous d’abord de l’éléphant dans la pièce
Selon Gartner, 99 % des vulnérabilités qui seront exploitées d’ici la fin de 2020 seront des vulnérabilités connues par les professionnels de la sécurité et des TI au moment de l’incident.
Si vous vous attaquez d’abord à la cause première des atteintes et des pertes de données, vous pourrez prendre appui sur de meilleures bases pour travailler sur les problèmes plus difficiles. Poursuivez vos démarches afin d’apporter continuellement des améliorations dans le cadre d’un programme de gestion des vulnérabilités, mais il est plus crucial de réduire les attaques de surface en écartant les risques les plus grands posés par des vulnérabilités connues qui sont exploitées dans la nature.
En dépit du nombre croissant d’atteintes et de nouvelles menaces, le nombre de vulnérabilités exploitées d’une année à l’autre est demeuré stable au cours de la dernière décennie. Essentiellement, un plus grand nombre de menaces exploitent le même ensemble restreint de vulnérabilités.
Axez vos efforts sur les vulnérabilités exploitées dans la nature
Fixez-vous comme priorité absolue d’axer vos efforts sur la correction des vulnérabilités susceptibles d’être exploitées dans la nature ou sur la mise en place de contrôles de prévention. Il s’agit d’une approche efficace pour atténuer et prévenir les risques et pourtant, les organisations sont peu nombreuses à la mettre en pratique.
Elle permet de réduire le nombre de vulnérabilités à gérer et ainsi de consacrer plus d’efforts aux vulnérabilités restantes en améliorant ainsi la posture de votre organisation sur le plan de la sécurité.
L’auteur Craig Lawson est vice-président de la recherche chez Gartner. Ses activités sont notamment axées sur la sécurité réseau, les pare-feu, les systèmes de prévention et de détection des intrusions, la gestion de l’information et des événements de sécurité, la gestion des vulnérabilités, les fournisseurs de services de sécurité gérés et la sécurité infonuagique.
